grsecurity

grsecurity is 'n volledige sekuriteit stelsel vir Linux 2.4 dat 'n opsporing / voorkoming / containment strategie implementeer. Dit verhoed dat die meeste vorme van adres ruimte verandering, grense programme via sy rol-gebaseerde toegangsbeheer stelsel, verhard syscalls, bied volledige oudit, en implemente baie van die OpenBSD willekeur funksies.
Dit is geskryf vir prestasie, gemak van gebruik, en sekuriteit. Die RBAC stelsel het 'n intelligente leer af wat die minste voorreg beleid vir die hele stelsel met geen opset kan genereer. Al grsecurity ondersteun 'n funksie wat die IP van die aanvaller dat 'n waarskuwing of oudit veroorsaak logs.
Hier is 'n paar belangrike funksies van "grsecurity":
Main Futures:
· Rol gebaseerde toegangsbeheer
· Lesersfoto, groep, en spesiale rolle
· Domain ondersteuning vir gebruikers en groepe
· Rol oorgang tafels
· IP gebaseer rolle
· Nie-wortel toegang tot spesiale rolle
· Spesiale rolle wat geen verifikasie vereis
· Geneste vakke
· Veranderlike ondersteuning in die opset
· En, of, en die verskil te stel bedrywighede op veranderlikes in die opset
· Object af dat die skepping van setuid en setgid lêers beheer
· Skep en verwyder voorwerp modes
· Kern interpretasie van erfenis
· Real-time gereelde uitdrukking resolusie
· Vermoë om ptraces spesifieke prosesse ontken
· Lesersfoto en groep oorgang nagaan en toepassing op 'n inklusiewe of eksklusiewe basis
· / Dev / grsec inskrywing vir kern verifikasie en leer logs
· Volgende generasie kode wat minste voorreg beleid produseer vir die hele stelsel met geen opset
· Beleid statistieke vir gradm
· Inheritance leer
· Leer konfigurasielêer wat toelaat dat die bestuurder te-erfenis leer of afskakel leer op spesifieke paaie
· Volle padnamen vir gewraakte proses en ouer proses
· RBAC status funksie gradm
· / Proc // ipaddr gee die afgeleë adres van die persoon wat 'n gegewe proses begin
· Veilige handhawing beleid
· Ondersteun lees, skryf, voeg, te voer, te kyk, en lees-alleen toestemming ptrace voorwerp
· Ondersteun weg te steek, te beskerm, en ignoreer onderwerp vlae
· Ondersteun die vlae Pax
· Gedeelde geheue beskerming funksie
· Geïntegreerde plaaslike aanval reaksie op al die waarskuwings
· Behoudens vlag wat verseker 'n proses kan nooit trojaned kode uit te voer
· Full-featured fyn ouditering
· Resource, socket, en die vermoë ondersteuning
· Beskerming teen ontgin bruteforcing
· / Proc / pid filedescriptor / geheue beskerming
Reëls kan op nie-bestaande lêers / prosesse geplaas
· Beleid herlewing oor onderwerpe en voorwerpe
· Konfigureerbare log onderdrukking
· Konfigureerbare proses rekeningkundige
· Human-leesbare opset
· Nie lêerstelsel of argitektuur afhanklik
· Skale goed: ondersteun soveel beleid as geheue kan hanteer met dieselfde prestasie treffer
· Geen runtime geheue toekenning
· SMP veilig
· O tyd doeltreffendheid vir die meeste bedrywighede
· Sluit richtlijn vir die spesifiseer addisionele beleid
· Skakel, afskakel, herlaai vermoëns
· Opsie kern prosesse verberg
 
Chroot beperkings
· Geen heg gedeelde geheue buite chroot
· Geen kill buite chroot
· Geen ptrace buite chroot (argitektuur onafhanklike)
· Geen capget buite chroot
· Geen setpgid buite chroot
· Geen getpgid buite chroot
· Geen getsid buite chroot
· Geen stuur van seine deur fcntl buite chroot
· Geen besigtiging van enige proses buite chroot, selfs as / proc gemonteer
· Geen bevestiging of herkoppel
· Geen pivot_root
· Geen dubbele chroot
· Geen fchdir uit chroot
· Gedwonge chdir ("/") op chroot
· Geen (f) chmod + s
· Geen mknod
· Geen sysctl skryf
· Geen verhoging van skeduleerder prioriteit
· Geen verbinding met abstrakte unix domein voetstukke buite chroot
· Verwydering van skadelike voorregte via vermoëns
· Exec meld binne chroot
 
Adresruimte verandering beskerming
 
· Pax:-Page gebaseer implementering van nie-uitvoerbare gebruiker bladsye vir i386, sparc, sparc64, Alpha parisc, amd64, ia64 en ppc; weglaatbaar prestasie treffer op al i386 CPUs maar Pentium 4
· Pax:-Segmentering gebaseer implementering van nie-uitvoerbare gebruiker bladsye vir i386 met geen prestasie treffer
· Pax:-Segmentering gebaseer implementering van nie-uitvoerbare KERNEL bladsye vir i386
· Pax: Mprotect beperkings verhoed nuwe kode uit te voer 'n taak
· Pax: randomisasie van stapel en MMAP basis vir i386, sparc, sparc64, Alpha parisc, amd64, ia64, ppc, en mips
· Pax: randomisasie van hoop basis vir i386, sparc, sparc64, Alpha parisc, amd64, ia64, ppc, en mips
· Pax: randomisasie van uitvoerbare basis vir i386, sparc, sparc64, Alpha parisc, amd64, ia64 en ppc
· Pax: randomisasie van kern stapel
· Pax: Outomaties navolg sigreturn trampolines (vir libc5, glibc 2.0, uClibc, Modula-3 verenigbaarheid)
· Pax: Nee ELF .text verskuiwings
· Pax: Trampoline nydigheid (GCC en linux sigreturn)
· Pax: PLT nydigheid vir nie-i386 archs
· Geen kern verandering via / dev / mem, / dev / kmem, of / dev / port
· Opsie om die gebruik van rou Ek skakel / O
· Die opheffing van adresse uit / processed // [kaarte | stat]
 
Ouditering funksies
 
· Opsie om enkele groep spesifiseer oudit
· Exec meld met argumente
· Geweier hulpbron meld
· Chdir meld
· Mount en ontheg meld
· IPC skepping / verwydering meld
· Signal meld
· Kon vurk meld
· Tyd verandering meld
 
Randomisasie funksies
 
· Groter entropie swembaddens
· Gerandomiseerde TCP Aanvanklike Volgorde Nommers
· Gerandomiseerde PID's
· Gerandomiseerde IP-ID's
· Gerandomiseerde TCP bron hawens
· Gerandomiseerde RPC XIDs
 
Ander kenmerke
 
· / Proc beperkings wat nie inligting oor die proses eienaars lek
· Symlink / hardlink beperkings / tmp rasse voorkom
· EIEU beperkings
· Dmesg (8) beperking
· Verbeterde implementering van betroubare pad Uitvoering
· GID-gebaseerde socket beperkings
· Byna al die opsies is sysctl-verstelbare, met 'n sluitmeganisme
· Alle waarskuwings en oudits ondersteun 'n funksie wat die IP-adres van die aanvaller logs met die log
· Stroom verbindings oor unix domein voetstukke voer IP adres van die aanvaller se met hulle (op 2,4 alleenlik)
· Opsporing van plaaslike verbindings: kopieer IP adres aanvaller se na die ander taak
· Outomatiese afskrikking van ontgin bruteforcing
· Lae, Medium, High, en Custom sekuriteit vlakke
· Tunable vloed-time en bars vir meld
Wat is nuut in hierdie release:
· Oplossing om Pax vlag ondersteuning in RBAC stelsel.
· Pax updates vir nie-x86 argitektuur in 2.4.34 kol.
· 'N setpgid in chroot probleem is opgelos.
· Die ewekansige PID's funksie is verwyder.
· Hierdie vrystelling fixes / proc gebruik in 'n chroot in 2,6 pleister.
· Dit voeg 'n administrateur rol gegenereer beleid van volle leer.
· Dit resynchronizes die Pax-kode in die 2,4 pleister.
· Dit is opgedateer om Linux 2.4.34 en 2.6.19.2.